Trong kỷ nguyên chuyển đổi số, sự dịch chuyển lên đám mây mang lại tốc độ bứt phá nhưng cũng đi kèm vô vàn rủi ro. Thực tế cho thấy, 80% doanh nghiệp đã ghi nhận sự gia tăng về tần suất của các cuộc tấn công trên môi trường đám mây. Thống kê toàn cầu được công bố cuối tháng 7/2025 bởi IBM cho thấy, con số thiệt hại từ các cuộc tấn công mạng mà mỗi doanh nghiệp hay tổ chức gánh chịu trung bình lên đến 4,88 triệu USD. Chính vì vậy, những giải pháp Application Security (Bảo mật ứng dụng) đã vươn lên trở thành ưu tiên đầu tư số 1 của các tổ chức.
 |
| Sau thời gian thử nghiệm với phiên bản Beta từ tháng 3/2025, đến nay FPT AppSec đã chính thức hoàn thiện, sẵn sàng tung ra thị trường. |
Đáp lại nhu cầu cấp thiết đó, sau quá trình thử nghiệm bản Beta từ quý 3/2025, nền tảng FPT AppSec đã được đội ngũ kỹ sư FPT tung ra thị trường vào quý 1 năm nay. Đây là một giải pháp Quản trị vị thế bảo mật ứng dụng (ASPM - Application Security Posture Management) toàn diện, cung cấp một nguồn dữ liệu tập trung duy nhất để nhận diện, liên kết và ưu tiên xử lý các lỗ hổng bảo mật xuyên suốt vòng đời phát triển phần mềm.
Không chỉ dừng lại ở tính năng vượt trội, chất lượng của FPT AppSec đã được đấu trường quốc tế công nhận khi xuất sắc giành giải Đồng tại hạng mục Bảo mật Ứng dụng, trong khuôn khổ giải thưởng Cybersecurity Excellence Awards 2026. Bên cạnh đó, nền tảng SaaS quản lý toàn diện này giúp khách hàng tuân thủ nghiêm ngặt các tiêu chuẩn quốc tế như ISO/IEC 27001:2023, NIST/SP 800-53, cùng các quy định khắt khe của Việt Nam như Nghị định 85, Thông tư 12 của Bộ Thông tin Truyền thông (nay thuộc Bộ Khoa học Công nghệ) và Thông tư 50 của Ngân hàng Nhà nước.
 |
Tư duy "Shift-left"
Sự ra đời của FPT AppSec không xuất phát từ định hướng kinh doanh của đơn vị, mà bắt nguồn từ chính những trăn trở của đội ngũ kỹ sư bảo mật. Khi tốc độ phát triển phần mềm ngày càng cao, đi kèm sự hỗ trợ của AI, rủi ro bảo mật cũng xuất hiện sớm và khó kiểm soát hơn.
Chia sẻ về "giọt nước tràn ly" thôi thúc dự án, chuyên gia bảo mật Lê Ngọc Linh, đại diện nhóm tác giả từ FPT Smart Cloud nhấn mạnh: "Nếu muốn kiểm soát bảo mật thực sự hiệu quả, mình phải làm chủ được nó từ gốc, tức từ dòng code, pipeline cho tới runtime. Các công cụ bảo mật truyền thống nay chủ yếu 'đi sau', phát hiện vấn đề khi đã muộn và thường thiếu ngữ cảnh để xử lý triệt để”.
Anh Linh cũng cho biết, thời điểm bắt tay vào xây dựng nền tảng, bài toán hóc búa nhất là Việt Nam chưa có nhiều "khuôn mẫu" cho một hệ thống ASPM. Đội ngũ phải tự định nghĩa mọi thứ, từ cách liên kết dữ liệu đến việc tích hợp vào quy trình làm việc thực tế. Quá trình can thiệp vào dây chuyền phát triển cũng vấp phải "va chạm" với đội ngũ lập trình. Với các lập trình viên, bất cứ thứ gì làm chậm pipeline đều bị coi là lực cản.
Theo chuyên gia bảo mật, để hệ thống bảo mật thực sự đi vào đời sống, đội ngũ dự án phải chứng minh rằng việc tích hợp biện pháp bảo mật vào toàn bộ chu trình phát triển sản phẩm, không có nghĩa là việc đẩy gánh nặng cho lập trình viên. Đó là sự chuyển dịch trách nhiệm một cách thông minh, giúp Dev phát hiện sớm và giảm thiểu chi phí sửa lỗi trên môi trường thực tế.
Để dễ hình dung về cách FPT AppSec hoạt động, tác giả sản phẩm ví von nền tảng này như một "bộ não trung tâm" theo dõi sức khỏe bảo mật của ứng dụng. Hệ thống thu thập dữ liệu từ nhiều điểm như mã nguồn, pipeline, API, sau đó ghép các mảnh ghép lại để hiểu toàn cảnh rủi ro.
"Thay vì đưa ra 100 cảnh báo, hệ thống giúp bạn trả lời câu hỏi: 'Nếu tôi chỉ có thời gian fix 3 vấn đề hôm nay, thì nên fix cái nào?’”, anh Linh cho hay.
 |
| Đội ngũ dự án FPT AppSec. |
Sức mạnh cốt lõi
Để làm được nhiệm vụ của một "bộ não trung tâm", FPT AppSec sở hữu một kiến trúc lõi tinh vi, kết hợp nhuần nhuyễn giữa SAST (kiểm thử tĩnh) và DAST (kiểm thử động). Nếu SAST giúp phát hiện các lỗ hổng mã nguồn còn rò rỉ ngay từ giai đoạn phát triển, thì DAST lại rà quét các lỗ hổng runtime bằng cách mô phỏng các cuộc tấn công thực tế từ bên ngoài. Sự kết hợp này giúp hệ thống trả lời được cả hai câu hỏi: Lỗi nằm ở đâu và lỗi đó có thực sự nguy hiểm không?
Điểm sáng giá của FPT AppSec là việc tối ưu hóa tỷ lệ cảnh báo. Thay vì chỉ chạy đua tìm ra nhiều lỗi nhất, hệ thống tập trung vào độ chính xác gần với tuyệt đối. Bằng cách kết hợp Cây cú pháp trừu tượng (AST), Truy vết điểm mù (Taint Trace) và Phân tích luồng dữ liệu (Data Flow), FPT AppSec hiểu sâu cấu trúc và đường đi của dữ liệu, từ đó “bắt đúng mạch, chữa đúng bệnh” cho ứng dụng.
Điểm nhấn công nghệ đặc biệt của FPT AppSec nằm ở việc tích hợp Trí tuệ nhân tạo (AI Reasoning), hoạt động như một "trợ lý kỹ thuật" đắc lực cho đội ngũ bảo mật. Bằng khả năng phân loại chính xác các cảnh báo giả (false positive) và đưa ra gợi ý xử lý bám sát ngữ cảnh thực tế của từng ứng dụng, AI giúp các kỹ sư cắt giảm đáng kể thời gian rà soát thủ công. Đáng chú ý, thay vì phụ thuộc vào các dịch vụ AI bên ngoài tiềm ẩn nhiều rủi ro, FPT AppSec triển khai mô hình này hoàn toàn trong môi trường kiểm soát nội bộ thông qua hệ thống AI Factory của FPT.
Giải pháp này đảm bảo những dữ liệu nhạy cảm nhất, từ mã nguồn đến cấu hình hệ thống, luôn được bảo vệ nghiêm ngặt, không bao giờ lọt ra ngoài phạm vi tổ chức. Cách tiếp cận khéo léo này không chỉ phát huy tối đa sức mạnh của AI mà còn đáp ứng trọn vẹn các tiêu chuẩn tuân thủ khắt khe, qua đó vừa giải phóng áp lực cho đội ngũ an ninh, vừa củng cố niềm tin vững chắc từ phía các lập trình viên.
Chiến công thực chiến
Minh chứng rõ nét nhất cho sức mạnh của FPT AppSec chính là những chiến công trên mặt trận săn tìm lỗ hổng. Điển hình là việc phát hiện ra CVE-2025-63601, một lỗ hổng nghiêm trọng với điểm CVSS (thang điểm quốc tế, đánh giá mức độ nguy hiểm bảo mật) tuyệt đối 9.9/10.
Đây là lỗ hổng thực thi mã độc từ xa (RCE) tồn tại trong hệ thống quản lý tài sản IT Snipe-IT. Kẻ tấn công có thể lợi dụng chức năng tải lên tệp sao lưu để đưa mã độc vào hệ thống, từ đó thực thi lệnh hệ thống, truy cập dữ liệu nội bộ và leo thang đặc quyền.
 |
| Lỗ hổng bảo mật nghiêm trọng được FPT AppSec phát hiện và xử lý gọn gàng. |
Linh nhấn mạnh, lỗ hổng này không nằm ở một dòng code lộ liễu mà liên quan đến logic xử lý tệp và ranh giới tin cậy (trust boundary) bị hiểu sai. Nhờ khả năng phân tích luồng dữ liệu và sự lan truyền của dữ liệu không đáng tin (Taint propagation), FPT AppSec đã "đánh hơi" thành công những rủi ro tiềm ẩn này.
"Security không phải là 'việc thêm vào', mà là 'chất lượng của sản phẩm'. Một đoạn code an toàn từ đầu sẽ dễ bảo trì hơn, ít lỗi hơn và ít sự cố hơn”, chuyên gia bảo mật Lê Ngọc Linh, FPT Smart Cloud nhấn mạnh.
Trong định hướng tương lai, FPT AppSec sẽ tiếp tục vươn xa để trở thành một phần cốt lõi của hệ sinh thái CNAPP (Cloud-Native Application Protection Platform). Nhóm dự án đặt mục tiêu tích hợp sâu AI vào toàn bộ vòng đời ứng dụng, biến AI thành một "chuyên gia hỗ trợ quyết định" thực thụ. Đích đến cuối cùng là thu hẹp khoảng cách giữa những phát hiện kỹ thuật khô khan và những tác động sống còn tới hoạt động kinh doanh, giúp doanh nghiệp vững tin bứt phá trong kỷ nguyên số.
Sơn Tra
Ý kiến
()